Proteção de dados para agências e desenvolvedores WordPress

Nils Möllers Última atualização em 21.10.2020
5 min.
Proteção de dados para agências
Última atualização em 21.10.2020

O desenvolvimento do mercado digital não é uma questão nova para as empresas e para os trabalhadores independentes. Infelizmente, o mesmo não pode necessariamente ser dito sobre a protecção de dados para as agências. O que as agências e os freelancers têm que considerar em termos de lei de protecção de dados? E quanto ao processamento de WordPress pedidos? Uma visão geral.

O regulamento básico de protecção de dados (RGPD) está em vigor há quase 2 anos - também emprega todos aqueles que WordPress trabalham no ambiente de. No entanto, o tema da protecção de dados existe desde 1971 e existe uma tensão crescente entre a protecção de dados e a digitalização responsável dos processos empresariais. É, portanto, ainda mais importante conhecer as regras centrais.

Nota: Este artigo básico não substitui o aconselhamento jurídico. Para rever as suas medidas e o seu site, deve sempre contactar um escritório de advogados profissional para o direito online e protecção de dados.

Quando é que uma agência precisa de nomear um responsável pela protecção de dados?

Tem havido discussões acaloradas aqui no passado. No entanto, podemos agora estabelecer os seguintes pontos-chave para as português es agências:

  1. A Agência emprega mais de 20 funcionários que processam dados pessoais.
  2. A Agência realiza operações de processamento que precisam de ser avaliadas por uma avaliação do impacto da protecção de dados.
  3. A agência atua na área de pesquisa de mercado ou de opinião 
  4. A Agência deve tratar dados pessoaisparticularmente sensíveis

Com o desejo de reduzir a burocracia, os grupos parlamentares da CDU/CSU tinham exigido que o limite da obrigação de nomeação de um responsável pela protecção de dados da empresa (Secção 38 BDSG) fosse aumentado para 50 pessoas. No final, chegou-se a um acordo em meados de 2009 sobre um limite de 20 funcionários.

Basicamente, coloca-se aqui a questão se o aumento do limite foi sensato, uma vez que a protecção de dados deve ser cumprida por todas as empresas. Mesmo por uma empresa de 1 pessoa.

O que deve ser considerado com o software da agência em termos de protecção de dados?

Muitas agências trabalham com software, sistemas de bilhetes ou gestão do fluxo de trabalho para automatizar processos e manter uma visão geral. Normalmente, os dados pessoais dos clientes e outros parceiros são processados nestas soluções de software. Portanto, os regulamentos de proteção de dados também se aplicam aqui.

Em princípio, as agências devem assegurar que existe um nível de protecção adequado para os produtos de software introduzidos. Além de um conceito de autorização e eliminação, devem ser cumpridas outras medidas técnico-organizativas (TOM) de acordo com o artigo 32 RGPD , a fim de utilizar o respectivo software de uma forma compatível com a protecção de dados.

A adequação económica tem de ser tida em conta. Por exemplo, o TOM de uma pequena agência não pode cumprir os mesmos padrões em todas as áreas que as medidas de uma grande corporação devido a aspectos econômicos.

Na maioria dos casos, este software é um serviço em nuvem. Estes são, por exemplo:

  • segunda-feira.com.
  • Google Suite ou
  • Atlassian Jira Service Desk

para citar apenas alguns. Um acordo de processamento de contrato deve ser definitivamente celebrado com estes fornecedores, uma vez que as ferramentas processam dados pessoais de acordo com as instruções.

Google RGPD
O Google fornece seus próprios recursos para seus serviços na nuvem

Como parte da conclusão de um contrato de processamento (antes do início da cooperação) as agências ou desenvolvedores devem verificar estas medidas técnicas e organizacionais do serviço.

O contrato de processamento de pedidos também deve conter, entre outros, os seguintes tópicos: Serviços de apoio em caso de afirmação de direitos dos titulares dos dados, padrões de qualidade, existência de subcontratados, se existirem.

O WordPress desenvolvimento é um processamento de pedidos?

Muitas agências desesperam com a avaliação se estão processando dados como um processador em nome de um cliente ou como uma parte (auto) responsável. Na verdade, a avaliação é bastante simples: o responsável pelo tratamento é a pessoa que determina as finalidades e os meios de tratamento dos dados pessoais (n.º 7 RGPD do artigo 4.º). Por outro lado, uma agência age como um processador nos termos do artigo 48 (RGPD) quando processa dados pessoais em nome do comitente.

Mas o problema é que as agências e também os freelancers muitas vezes oferecem serviços holísticos. Neste caso, nem sempre é possível verificar claramente se existe uma mistura de responsabilidades. A opinião predominante dos responsáveis pela protecção de dados é que, em caso de dúvida, o tratamento de dados está actualmente concluído. A propósito, isto coloca a agência em melhor posição em termos de responsabilidade do que sem um contrato sobre o processamento comissionado.

O que deves considerar no alojamento WordPress?

O tema da protecção de dados para as agências também inclui o alojamento web. Além da disponibilidade de um certificado SSL, é muito importante que a hospedagem ocorra em um centro de dados certificado, por exemplo, de acordo com a ISO/EN 27001. Por exemplo, de acordo com a ISO/EN 27001, porque aqui se aplica o mesmo requisito do Artigo 32 RGPD: agências e desenvolvedores devem garantir a disponibilidade, integridade e confidencialidade através de um nível de segurança adequado.

Além das medidas preventivas, também deve ser implementada uma estratégia de apoio adequada. Na prática, os backups incrementais diários e completos semanais, que são armazenados por até 90 dias, têm se mostrado um sucesso.

estratégia de apoio
As cópias de segurança automáticas aumentam a segurança

No entanto, os backups não devem ser armazenados em um único local. Como regra geral, os centros de dados oferecem a possibilidade de cair de volta em vários compartimentos de incêndio.

O que um WordPress site deve cumprir para a proteção de dados?

Em princípio, os websites devem cumprir os princípios do Regulamento Geral de Protecção de Dados. Assim, aplica-se:

  • O princípio da minimização dos dados
  • A observância das bases legais para o tratamento de dados pessoais
  • Da mesma forma, a observância de um propósito apropriado do processamento

Classicamente, cada website deve ter uma política de privacidade abrangente e correta, a fim de cumprir com os requisitos de informação.

WordPress  Página de privacidade
Defina a página da política de privacidade em WordPress

Além disso, devem ser estabelecidas as bases legais para as diversas operações de processamento, especialmente no que diz respeito ao uso de cookies de terceiros. Este requisito pode ser implementado muito facilmente com um Cookie Consent Manager. Em relação ao WordPress, devem ser considerados os seguintes aspetos:

Do mesmo modo, para determinadas operações de processamento (registos, formulários de contacto, etc.), devem ser elaborados formulários de consentimento que cumpram as condições estabelecidas no artigo 7 RGPD .

WordPress  Plugin  Gestão
Prático: plugins e themes central no backend de hospedagem

Proteção de dados para agências: Quando você precisa de consentimento?

Basicamente, o Regulamento Geral de Protecção de Dados deve ser entendido como uma proibição com permissão. Isto significa que, antes de mais nada, nenhum dado pessoal pode ser processado. No entanto, uma vez que os dados pessoais devem ser frequentemente tratados, o legislador europeu definiu os chamados critérios de permissão - no artigo 6 (1) a a f RGPD.

RGPD Texto
O texto do RGPD em eur-lex.europa.eu

O consentimento é sempre requerido se uma das circunstâncias permitidas nos termos do artigo 6 (1) b) a f) RGPD não for relevante. Tal consentimento deve satisfazer as condições estabelecidas no artigo 7. Entre outras coisas, diz:

  • "Quando o tratamento se baseia no consentimento, o responsável pelo tratamento deve ser capaz de demonstrar que a pessoa em causa consentiu no tratamento dos seus dados pessoais".
  • "O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A revogação do consentimento não afecta a legalidade do processamento efectuado com base no consentimento até à revogação. A pessoa em causa deve ser informada antes de dar o seu consentimento. A retirada do consentimento deve ser tão simples como dar o consentimento".

Assim, o consentimento deve ser sempre informado, transparente, verificável, voluntário e revogável.

Além disso, há um chamado recital 32 a RGPD. Os exemplos aí mencionados destinam-se a facilitar o desenho do consentimento para a prática empresarial. No entanto, soluções auto-desenvolvidas - assim como as associadas WordPress Plugins - devem ser regularmente revistas legalmente para a sua admissibilidade, por exemplo, por um escritório de advogados adequado.

Perguntas sobre protecção de dados para agências

Você tem perguntas sobre proteção de dados para agências e freelancers? Esteja à vontade para usar a função de comentários. Você quer ser informado sobre novos artigos sobre o tema do direito online? Depois siga-nos no Twitter, Facebook ou através da nossa newsletter.

Nils Möllers é o fundador e diretor executivo da Keyed GmbH de Münsterland - como responsável certificado de proteção de dados e especialista em proteção de dados em marketing, em grupos corporativos e em sistemas de franquia. Nils Möllers também aconselha empresas na área de segurança de TI, acompanhando a ISO27001.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.